كيفية التحول الكامل إلى نظام بدون كلمات مرور

يمثل تطبيق مفاتيح المرور (Passkeys) قفزة هائلة إلى الأمام في أمان المصادقة، لكنه ليس الرحلة الكاملة. إذا كنت قد طبقت مفاتيح المرور بالفعل، فمن المحتمل أنك تحتفل بتحسن مقاييس الأمان، ولكن كيف ننتقل فعليًا من مجرد امتلاك مفاتيح المرور إلى تحقيق مصادقة كاملة بدون كلمات مرور؟

تقدم مفاتيح المرور مزايا أمنية حاسمة من خلال تصميمها المقاوم للتصيد الاحتيالي (phishing) باستخدام تشفير المفتاح العام المرتبط بنطاقات محددة، مما يجعل من المستحيل على المهاجمين خداع المستخدمين للمصادقة على مواقع مزيفة. كما أنها تقضي على إعادة استخدام بيانات الاعتماد حيث أن كل مفتاح مرور فريد لخدمة معينة، مما يعني أن اختراق خدمة واحدة لا يؤثر على الخدمات الأخرى. علاوة على ذلك، توفر حصانة ضد هجمات القوة الغاشمة (brute-force) عن طريق استبدال الأسرار المحفوظة بمفاتيح تشفير لا يمكن تخمينها أو كسرها.

ومع ذلك، تتبخر هذه المزايا القوية في اللحظة التي يتمكن فيها المستخدم من تجاوز المصادقة بمفتاح المرور وتسجيل الدخول بكلمة مرور بدلاً من ذلك. وهذا يطرح سؤالاً جوهريًا: لماذا لا تكفي مفاتيح المرور وحدها لتحقيق الأمان الكامل؟ الإجابة تكمن في فهم أنه طالما أن باب كلمة المرور لا يزال مفتوحًا، سيحاول المهاجمون الدخول من خلاله. والأهم من ذلك هو السؤال التالي: ما الذي يجعل استرداد الحساب نقطة الضعف الخفية التي يمكن أن تقوض تطبيق مفاتيح المرور بأكمله؟ لقد أظهرت الاختراقات الأخيرة البارزة أن المهاجمين يستهدفون بشكل متزايد عمليات الاسترداد بدلاً من المصادقة الأساسية.

سيرشدك هذا المقال خلال الرحلة الكاملة من تطبيق مفاتيح المرور إلى تحقيق أمان حقيقي بدون كلمات مرور، معالجة كل من هذه الأسئلة الحاسمة بحلول عملية وأمثلة من الواقع.

المصادقة الحقيقية بدون كلمات مرور تعني إزالة كلمات المرور تمامًا من بنيتك الأمنية. في نظام بدون كلمات مرور، لا يمكن للمستخدمين تعيين كلمات مرور أو إعادة تعيينها أو استخدامها في أي نقطة من رحلة المصادقة الخاصة بهم. بدلاً من ذلك، تعتمد المصادقة كليًا على أساليب التشفير مثل مفاتيح المرور.

تدعي العديد من المؤسسات أنها "بدون كلمات مرور" بينما لا تزال تحتفظ بكلمات المرور في الخلفية كخيار احتياطي. هذا ليس نظامًا بدون كلمات مرور حقيقيًا، بل مجرد نظام تكون فيه كلمة المرور اختيارية. الفرق مهم لأنه طالما وجدت كلمات المرور في أي مكان في نظامك، بما في ذلك عمليات الاسترداد، فإنها تظل ثغرة قابلة للاستغلال سيستهدفها المهاجمون.

يتطلب الأمان الحقيقي بدون كلمات مرور كلاً من إزالة كلمات المرور من المصادقة الأساسية والتأكد من أن عمليات الاسترداد مقاومة بنفس القدر لـ التصيد الاحتيالي (phishing).

إن الإبقاء على كلمات المرور كخيار احتياطي يحافظ على كل ناقل هجوم صُممت مفاتيح المرور للقضاء عليه. ببساطة، يقوم المهاجمون بتحويل حملات التصيد الاحتيالي (phishing) الخاصة بهم لاستهداف إدخال كلمة المرور، بينما تستمر هجمات حشو بيانات الاعتماد (credential stuffing) ورش كلمات المرور باستخدام بيانات الاعتماد المسروقة من اختراقات أخرى. وتظل الهندسة الاجتماعية فعالة حيث لا يزال من الممكن خداع المستخدمين للكشف عن كلمات المرور لوكلاء دعم مزيفين.

طالما أن كلمات المرور موجودة، فإنها تظل الحلقة الأضعف، وهي نقطة دخول واحدة تتجاوز تمامًا الأمان المقاوم لـ التصيد الاحتيالي (phishing) الذي توفره مفاتيح المرور.

النظر فقط إلى تجربة تسجيل الدخول لا يكفي أيضًا. ناقل هجوم حاسم ولكنه غالبًا ما يتم تجاهله هو عملية استرداد الحساب. حتى المؤسسات التي طبقت مفاتيح المرور يمكن أن تظل عرضة للخطر إذا كانت عملية الاسترداد الخاصة بها تعتمد على طرق قابلة للتصيد مثل رموز OTP عبر الرسائل القصيرة أو روابط البريد الإلكتروني السحرية.

لننظر إلى حادثة اختراق منتجعات MGM البارزة في عام 2023، حيث لم يستهدف المهاجمون نظام المصادقة الأساسي ولكنهم استغلوا عملية استرداد الحساب من خلال الهندسة الاجتماعية، متجاوزين جميع الإجراءات الأمنية الأساسية. وبالمثل، أظهر اختراق نظام دعم Okta كيف يمكن أن تصبح عمليات الاسترداد الحلقة الأضعف، مما يسمح للمهاجمين بإعادة تعيين بيانات الاعتماد والحصول على وصول غير مصرح به إلى بيئات العملاء.

تؤكد هذه الحوادث حقيقة حاسمة: تطبيق مفاتيح المرور دون تأمين عملية الاسترداد يشبه تركيب باب فولاذي وترك النوافذ مفتوحة.

إن تحقيق مصادقة حقيقية بدون كلمات مرور ليس خطوة واحدة، بل هو رحلة استراتيجية تتطلب تخطيطًا دقيقًا وتنفيذًا تدريجيًا وتحسينًا مستمرًا:

تركز المرحلة الأولى على تقديم مفاتيح المرور كطريقة مصادقة إضافية مع الحفاظ على الخيارات الحالية كبدائل. تتيح هذه المرحلة التأسيسية للمستخدمين وقتًا لفهم التكنولوجيا الجديدة والثقة بها مع إبقاء الطرق المألوفة متاحة لتقليل الاحتكاك.

خطوات التنفيذ الرئيسية:

• دمج مصادقة مفتاح المرور في تدفق المصادقة الحالي لديك
• تمكين إنشاء مفاتيح المرور للمستخدمين الجدد والحاليين
• الحفاظ على كلمات المرور وطرق المصادقة الأخرى كبدائل
• تتبع معدلات إنشاء مفاتيح المرور وأنماط الاستخدام

مقاييس النجاح:

• نسبة المستخدمين الذين أنشأوا مفتاح مرور واحد على الأقل تتجاوز 50%
• معدل نجاح إنشاء مفتاح المرور يتجاوز 95%
• وصول الاستخدام الأولي لمفاتيح المرور للمصادقة إلى 20-30%

بمجرد توفر مفاتيح المرور، يتحول التركيز إلى زيادة التبني وجعل مفاتيح المرور طريقة المصادقة المفضلة. تحول هذه المرحلة مفاتيح المرور من خيار بديل إلى خيار المصادقة الأساسي من خلال إشراك المستخدمين بشكل استراتيجي والتحسين المستمر.

خطوات التنفيذ الرئيسية:

• جعل مصادقة مفتاح المرور الخيار الافتراضي في تدفقات تسجيل الدخول
• تنفيذ تنبيهات ذكية تشجع على إنشاء مفتاح المرور بعد تسجيلات الدخول الناجحة بكلمة المرور
• توعية المستخدمين بفوائد الأمان والراحة من خلال الرسائل داخل التطبيق
• تقديم حوافز لـ تبني مفتاح المرور (إتمام أسرع لعمليات الشراء، ميزات حصرية)
• اختبار A/B لرسائل وواجهات مستخدم مختلفة لتحقيق أقصى قدر من التحويل
• تنفيذ سياسات الوصول المشروط التي تتطلب مفاتيح المرور للعمليات الحساسة

مقاييس النجاح:

• 60% فأكثر من المستخدمين النشطين لديهم مفتاح مرور واحد على الأقل
• 80% فأكثر من عمليات تسجيل الدخول تستخدم مفاتيح المرور للحسابات التي تم تمكين مفاتيح المرور لها
• أقل من 2% نسبة فشل في إنشاء مفاتيح المرور

هنا يحدث التحول الأمني الحقيقي: إزالة كلمات المرور تمامًا للمستخدمين الذين يستخدمون مفاتيح المرور باستمرار. تقضي هذه المرحلة على ناقل الهجوم الأساسي عن طريق إلغاء تنشيط كلمات المرور للمستخدمين الذين أظهروا تبنيًا ناجحًا لـ مفاتيح المرور.

خطوات التنفيذ الرئيسية:

• تحليل أنماط مصادقة المستخدم باستخدام أنظمة مراقبة ذكية
• تحديد المستخدمين الذين يستخدمون مفاتيح المرور حصريًا مع أجهزة متعددة جاهزة لمفاتيح المرور
• عرض إلغاء تنشيط كلمة المرور مع رسائل واضحة حول الفوائد الأمنية
• التحقق من توفر مفتاح المرور الاحتياطي (مزامنة سحابية أو أجهزة متعددة)

مقاييس النجاح:

• 30% فأكثر من المستخدمين المؤهلين يزيلون كلمات المرور طواعية
• عدم حدوث أي زيادة في معدلات قفل الحسابات
• الحفاظ على درجات رضا المستخدمين أو تحسينها

تعالج المرحلة النهائية نقطة الضعف الأخيرة: تحويل استرداد الحساب إلى عملية مقاومة للتصيد الاحتيالي. تضمن هذه المرحلة أن تتطابق عمليات الاسترداد مع مستوى أمان المصادقة الأساسية، مما يمنع الهجمات عبر الأبواب الخلفية.

خطوات التنفيذ الرئيسية:

• تنفيذ مصادقة متعددة العوامل مع عامل واحد على الأقل مقاوم للتصيد الاحتيالي
• العوامل المتاحة المقاومة للتصيد الاحتيالي:
  • مفاتيح المرور الاحتياطية: مفاتيح مرور استرداد مخزنة على أجهزة ثانوية أو خدمات سحابية توفر إثباتًا تشفيريًا للهوية (الخيار الأكثر توفرًا)
  • واجهة برمجة تطبيقات بيانات الاعتماد الرقمية (Digital Credentials API): معيار W3C لـ تأكيدات الهوية التي تم التحقق منها تشفيريًا من مزودين موثوقين (تقنية ناشئة، ليست منتشرة بعد)
  • مفاتيح الأمان المادية (Hardware Security Keys): رموز FIDO2 المادية المسجلة كعوامل استرداد لا يمكن تصيدها أو نسخها (تتطلب من المستخدمين شراء أجهزة مادية وصيانتها)
  • التحقق من وثيقة الهوية مع كشف الحيوية (Liveness Detection): مسح هوية حكومية مع إجراءات بيومترية في الوقت الفعلي لإثبات الحضور المادي

ملاحظة حول خيارات الاسترداد: بينما توفر واجهة برمجة تطبيقات بيانات الاعتماد الرقمية و مفاتيح الأمان المادية أمانًا قويًا، إلا أنهما لم يتم تبنيهما على نطاق واسع بعد، فالأولى لا تزال تقنية ناشئة والأخيرة تتطلب من المستخدمين شراء أجهزة مادية.

عندما لا تكون مفاتيح المرور الاحتياطية متاحة، يصبح التحقق من وثيقة الهوية مع كشف الحيوية بديلاً قابلاً للتطبيق. على الرغم من الحلول البديلة المحتملة لتجاوز فحوصات الحيوية دون امتلاك فعلي للهوية، إلا أن هذه الطرق لا تزال توفر أمانًا أقوى بكثير من رموز OTP التقليدية، التي يمكن اعتراضها بسهولة من خلال التصيد الاحتيالي، أو مبادلة بطاقة SIM، أو هجمات الرجل في المنتصف.

مقاييس النجاح:

• 100% من عمليات الاسترداد تتضمن عوامل مقاومة للتصيد الاحتيالي
• عدم حدوث أي عمليات استيلاء ناجحة على الحسابات من خلال عمليات الاسترداد
• الحفاظ على معدلات إتمام الاسترداد فوق 90%

تكتسب حركة التحول إلى نظام بدون كلمات مرور زخمًا في جميع أنحاء صناعة التكنولوجيا، حيث تتجه الشركات الرائدة بعيدًا عن كلمات المرور.

لقد حققت العديد من الشركات بالفعل إزالة كاملة لكلمات المرور لعملياتها الداخلية. وصلت شركات مثل Okta و Yubico و Cloudflare فعليًا إلى استخدام صفري لكلمات المرور داخليًا ولن تقبل عمليات تسجيل الدخول الخاصة بها كلمات المرور على الإطلاق.

تعمل عمالقة التكنولوجيا Google و Apple و Microsoft و X بنشاط على التخلص التدريجي من كلمات المرور لكنها لم تقضِ عليها تمامًا بعد. يوازن نهجهم بين تحسينات الأمان وخيار المستخدم خلال الفترة الانتقالية.

اتخذت Google موقفًا قويًا من خلال تفعيل خيار "تخطي كلمة المرور كلما أمكن" افتراضيًا لجميع الحسابات، مما يجعل مفاتيح المرور طريقة المصادقة المفضلة مع السماح للمستخدمين بإلغاء الاشتراك إذا لزم الأمر. يخلق هذا النهج القائم على الانسحاب زخمًا قويًا نحو نظام بدون كلمات مرور مع الحفاظ على المرونة للمستخدمين الذين ليسوا مستعدين بعد للانتقال.

تذهب Microsoft خطوة أبعد من خلال السماح للمستخدمين بإزالة كلمات المرور الخاصة بهم تمامًا من حساباتهم اليوم، مع خطط لـ "إزالة دعم كلمات المرور تمامًا في نهاية المطاف" في المستقبل. تشير هذه الخارطة الواضحة للمستخدمين إلى أن أيام كلمات المرور معدودة، مما يشجع على التبني المبكر للطرق التي لا تتطلب كلمات مرور.

قامت Apple بدمج مفاتيح المرور في جميع أنحاء نظامها البيئي وتروج بنشاط لاستخدامها، على الرغم من أن كلمات مرور Apple ID لا تزال متاحة كخيار احتياطي. يستفيد نهجها من المزامنة السلسة عبر أجهزة Apple لجعل تبني مفتاح المرور سلسًا قدر الإمكان.

لا تفرض هذه الشركات تغييرًا فوريًا ولكنها ترسل رسالة واضحة: ستختفي كلمات المرور بمجرد وصول التبني إلى كتلة حرجة. تتضمن استراتيجياتها جعل مفاتيح المرور هي الخيار الافتراضي، وتوعية المستخدمين بالفوائد، وتقليل وظائف كلمات المرور تدريجيًا.

لا ينبغي التسرع في قرار إزالة كلمات المرور أو تطبيقه بشكل شامل. بدلاً من ذلك، يجب تبني نهج تدريجي يعتمد على البيانات يأخذ في الاعتبار سلوك المستخدم وقدرات الجهاز وملفات تعريف المخاطر.

يجب على القطاعات عالية المخاطر التي تواجه هجمات تصيد احتيالي شديدة اليوم أن تبدأ انتقالها إلى نظام بدون كلمات مرور على الفور، ولكن مع اتباع طرح تدريجي واستراتيجي:

• البنوك والمؤسسات المالية: أهداف رئيسية لسرقة بيانات الاعتماد. بالنسبة للبنوك الأوروبية، تتوافق مفاتيح المرور أيضًا مع متطلبات المصادقة القوية للعملاء (SCA) الخاصة بـ PSD2، مما يوفر مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي تلبي الامتثال التنظيمي مع تحسين تجربة المستخدم.
• مزودو خدمات الدفع والتكنولوجيا المالية (Fintech): الوصول المباشر إلى أموال العملاء يجعلهم جذابين للجريمة المنظمة عبر الإنترنت.
• بورصات العملات المشفرة: المعاملات التي لا يمكن عكسها تعني أن بيانات الاعتماد المسروقة تؤدي إلى خسائر دائمة.
• الرعاية الصحية والتأمين: تواجه متطلبات الامتثال ومخاطر سلامة المرضى من سرقة الهوية الطبية.
• الحكومة والبنية التحتية الحيوية: مستهدفة من قبل جهات فاعلة تابعة للدول بحملات تصيد احتيالي موجهة متطورة.

بالنسبة لهذه المؤسسات، يعتبر الإجراء الفوري حاسمًا، لكن النجاح لا يزال يتطلب نهج طرح منهجي وتدريجي. ابدأ اليوم، ولكن قم بالطرح بشكل استراتيجي لضمان تبني عالٍ وتجنب قفل حسابات المستخدمين.

ابدأ بمجموعة فرعية أصغر: ابدأ انتقالك إلى نظام بدون كلمات مرور مع المستخدمين الذين يظهرون استخدامًا ثابتًا لمفاتيح المرور. سيساعدك هؤلاء المتبنون الأوائل على تحديد المشكلات المحتملة قبل النشر على نطاق أوسع.

حلل أنماط سلوك المستخدم:

• تكرار تسجيل الدخول والطرق المستخدمة
• أنواع الأجهزة وتوافق مفاتيح المرور
• محاولات المصادقة الفاشلة
• استخدام عمليات الاسترداد
• أنماط المصادقة عبر الأجهزة

المستخدمون المؤهلون لإلغاء تنشيط كلمة المرور بناءً على هذه الأنماط:

• يصادقون باستمرار عبر مفاتيح المرور - مما يدل على أنهم مرتاحون للتكنولوجيا
• يستخدمون مفاتيح المرور عبر أجهزة متعددة - مما يشير إلى أن لديهم طرق وصول احتياطية
• لم يستخدموا كلمات المرور أو عمليات الاسترداد في آخر 30-60 يومًا - مما يدل على أنهم لا يعتمدون على المصادقة القائمة على كلمة المرور

توفر Corbado منصة شاملة لتوجيه المؤسسات خلال جميع المراحل الأربع لرحلة التحول إلى نظام بدون كلمات مرور الموصوفة أعلاه. من التنفيذ الأولي لمفاتيح المرور إلى تحقيق الإزالة الكاملة لكلمات المرور، يتعامل حل Corbado مع التعقيدات التقنية مع توفير الأدوات اللازمة لتبني ناجح من قبل المستخدمين.

دعم المرحلتين 1 و 2: تقدم Corbado تكاملًا سلسًا لمفاتيح المرور مع حزم المصادقة الحالية، وتنبيهات ذكية تزيد من معدلات التبني، وتحليلات مفصلة لتتبع إنشاء مفاتيح المرور وأنماط الاستخدام. تعمل ميزة Passkey Intelligence في المنصة على تحسين تجربة المستخدم تلقائيًا بناءً على قدرات الجهاز وسلوك المستخدم، مما يضمن عملية تأهيل سلسة.

تنفيذ المرحلتين 3 و 4: بالنسبة للمؤسسات المستعدة لإزالة كلمات المرور تمامًا، تتيح Corbado إلغاء تنشيط كلمة المرور تدريجيًا بناءً على جاهزية المستخدم مع الحفاظ على عمليات استرداد آمنة ومقاومة للتصيد الاحتيالي.

من خلال التعامل مع التوافق عبر المنصات، وآليات الرجوع، وتحسين تجربة المستخدم، تسرع Corbado من التحول إلى نظام بدون كلمات مرور من سنوات إلى أشهر، مما يسمح للمؤسسات بالتركيز على أعمالها الأساسية مع تحقيق مصادقة مقاومة للتصيد الاحتيالي.

إن الرحلة إلى مصادقة حقيقية بدون كلمات مرور تجيب على السؤالين الحاسمين اللذين طرحناهما في البداية:

لماذا لا تكفي مفاتيح المرور وحدها لتحقيق الأمان الكامل؟ لأن الأمان يقاس بقوة أضعف حلقاته. طالما أن كلمات المرور متاحة، حتى كخيار احتياطي، سيتحول المهاجمون ببساطة لاستهدافها من خلال التصيد الاحتيالي، أو حشو بيانات الاعتماد (credential stuffing)، أو هجمات التخفيض. كل كلمة مرور في نظامك تقوض الفوائد المقاومة للتصيد الاحتيالي لمفاتيح المرور.

ما الذي يجعل استرداد الحساب نقطة الضعف الخفية؟ غالبًا ما تكون عمليات الاسترداد هي الباب الخلفي المنسي. كما أظهرت اختراقات منتجعات MGM و Okta، يتجاوز المهاجمون بشكل متزايد تطبيقات مفاتيح المرور القوية عن طريق استغلال طرق الاسترداد الأضعف مثل رموز OTP عبر الرسائل القصيرة أو روابط البريد الإلكتروني السحرية. إنه يشبه تركيب باب فولاذي وترك النوافذ مفتوحة.

يتطلب الأمان الحقيقي بدون كلمات مرور إكمال الرحلة بأكملها: تطبيق مفاتيح المرور، وزيادة التبني، وإزالة كلمات المرور تمامًا، وتأمين عمليات الاسترداد بطرق مقاومة للتصيد الاحتيالي. فقط من خلال إغلاق جميع أبواب كلمات المرور، بما في ذلك تلك المخفية في عمليات الاسترداد، يمكن للمؤسسات تحقيق مصادقة آمنة حقًا.